检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击集群名称进入集群,在左侧选择“节点管理”,在右侧选择“节点池”页签。 单击节点池名称后的“更新”,在弹出的“更新节点池”页面中配置参数,在“K8s标签”中配置对应的标签。
不幸的是Kubernetes默认允许匿名访问,即kube-apiserver的启动参数”-- anonymous-auth=true”;给予用户Pod的exec/attach/portforward的权限,用户也可以利用这个漏洞升级为集群管理员,可以对任意Pod做破坏操作。
获取方法:在CCE控制台,单击顶部的“服务列表 > 网络 > 弹性负载均衡”,并选择“证书管理”。在列表中复制对应证书名称下的ID即可。
在左侧导航栏中选择“插件中心”,在右侧找到NGINX Ingress控制器插件,单击“管理”。 单击已安装实例的“编辑”,在负载均衡器配置中开启“获取客户端源IP”开关。 单击“确定”。
(可选)登录SWR管理控制台,选择左侧导航栏的“组织管理”,单击页面右上角的“创建组织”,创建一个组织。 如已有组织可跳过此步骤。 在左侧导航栏选择“我的镜像”,单击右侧“客户端上传”,在弹出的页面中单击“生成临时登录指令”,单击复制登录指令。
当kubelet的节点关闭管理器可以检测到即将到来的节点关闭操作时,节点关闭才被认为是体面的。详情请参见处理节点非体面关闭。
需要注意的是: 集群休眠后,集群管理费用不再收取,但集群中包含的其他云服务计费资源(例如云硬盘、带宽等)不受集群休眠影响,仍然按原有的计费方式进行计费。 节点关机后,不再收取基础资源(vCPU、内存)费用,但其绑定的云硬盘、带宽等仍然正常计费。
表1 使用CCE Standard和Turbo集群的费用组成 计费项 计费项说明 适用的计费模式 计费公式 *集群 集群管理费用。根据每个集群所在区域、控制节点数(是否高可用)、集群规模(最大支持的节点数)的差异收取不同的费用。
初次访问时界面会提示获取初始管理员密码,该密码可在jenkins的Pod中获取。在执行下述命令之前您需要先通过kubectl连接集群,具体操作请参见通过kubectl连接集群。
解决方案: 请在工作负载详情页中,切换至“容器管理”页签,核查容器的“健康检查”配置信息,排查健康检查策略是否合理或业务是否已异常。
登录CCE控制台,进入集群,在左侧选择“节点管理”,单击节点后的“同步云服务器”。 登录目标节点。 使用lsblk命令查看节点块设备信息。
表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 拒绝服务攻击 CVE-2019-9512 高 2019-08-13 资源管理错误 CVE-2019-9514 高 2019-08-13 漏洞影响 默认集群在VPC和安全组内保护下不受影响。
v1.15 v1.17 v1.19 v1.21 修复重复挂盘偶现挂载后读写失败的问题 1.2.51 v1.15 v1.17 v1.19 v1.21 调整everest-csi-driver滚动更新的最大不可用数:从10更新到10% 自定义规格支持Pod反亲和 统计节点上可由csi插件管理的
当kubelet的节点关闭管理器可以检测到即将到来的节点关闭操作时,节点关闭才被认为是体面的。详情请参见处理节点非体面关闭。
Job管理的Pod根据用户的设置把任务成功完成就自动退出(Pod自动删除)。 CronJob:是基于时间的Job,就类似于Linux系统的crontab文件中的一行,在指定的时间周期运行指定的Job。 任务负载的这种用完即停止的特性特别适合一次性任务,比如持续集成。
配额管理 资源配额可以限制命名空间下的资源使用,进而支持以命名空间为粒度的资源划分。 须知: 建议根据需要在命名空间中设置资源配额,避免因资源过载导致集群或节点异常。
例如,如果集群管理员运行监听了127.0.0.1:1234的TCP服务,由于这个bug,该服务将有可能被与该节点在同一局域网中的其他主机,或与该服务运行在同一节点上的容器所访问。
在集群控制台左侧导航栏中选择“节点管理”,切换至“节点池”页签。 选择需要更新的存量节点池,单击“更新 ”,将CentOS操作系统切换为支持切换的操作系统支持切换的操作系统,建议选择操作系统为Huawei Cloud EulerOS。
表3 custom 参数 是否必选 参数类型 描述 feature_gate 否 String 特性开关,管理开启beta特性 multiAZBalance 否 Bool 多可用区部署 multiAZEnabled 否 Bool 是否多可用区部署,默认为false,如果为true,
NetworkPolicy 否 Pod支持使用安全组隔离 ELB对接Pod ELB对接Pod需要通过节点NodePort转发 ELB对接Pod需要通过节点NodePort转发 使用独享型ELB时可直接对接Pod 使用共享型ELB对接Pod需要通过节点NodePort转发 容器IP地址管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
